Python第三方套件儲存庫PyPI實施強制雙因素驗證政策,強化平臺安全性,現在PyPI要求所有新用戶在執行任意管理操作,包括上傳套件和修改套件資訊之前,都必須啟用雙因素驗證,同時,還要求用戶需要使用經過驗證的主要電子郵件地址。

PyPI從2019年開始支援雙因素驗證,並在今年5月的時候,宣布今年底前所有用戶都必須啟用雙因素驗證,而現在對新用戶的雙因素驗證要求,正是這項政策的具體作為。新用戶在創建/管理專案、添加/刪除API權杖、添加/刪除協作者,以及添加/管理受信任發布者等操作,都會需要先啟用雙因素驗證。

不過,對於只是想瀏覽PyPI網頁,下載和安裝套件的使用者,並不需要額外申請PyPI帳號,因此這項雙因素驗證要求也就不會產生影響。未啟用雙因素驗證的新註冊帳號,在嘗試執行管理操作時,用戶會在頁面頂端看到紅色橫幅,點擊後便會被重新定向到雙因素驗證設定頁面。

PyPI在今年5月爆出大量惡意帳戶和專案,在安全審核人力吃緊下,官方緊急停止接受新用戶和專案,以緩解惡意程式碼的威脅。官方提到,攻擊者可能透過網路釣魚或是憑證填充等攻擊手法,取得電子郵件和密碼非法存取使用者的帳號,並使用這些帳號上傳惡意Python套件,以竊取各種憑證、加密貨幣錢包或是敏感資訊。

當PyPI帳號啟用雙因素驗證,即便用戶的電子郵件帳戶受到入侵,攻擊者成功請求更換密碼,仍需要通過雙因素驗證,如此便能大幅提高帳號安全性。

熱門新聞

Advertisement